Habilitar a análise no gerenciamento de risco interno

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

Habilitar Gerenciamento de Risco Interno do Microsoft Purview análise oferece dois benefícios importantes. Quando a análise estiver habilitada, você poderá:

• Realize uma avaliação de possíveis riscos internos em sua organização sem configurar políticas de risco interno.
• Receba diretrizes em tempo real sobre como configurar configurações de limite de indicador.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Realizar uma avaliação dos riscos internos em sua organização

Gerenciamento de Risco Interno do Microsoft Purview análise permite que você realize uma avaliação de possíveis riscos internos em sua organização sem configurar políticas de risco interno. Essa avaliação pode ajudar sua organização a identificar áreas potenciais de maior risco do usuário e ajudar a determinar o tipo e o escopo das políticas de gerenciamento de risco interno que talvez você queira configurar. As análises oferecem as seguintes vantagens para sua organização:

• Fácil de configurar: Para começar a fazer exames de análise, selecione Executar verificação quando solicitado pela recomendação de análise ou acesse Configurações> de risco do InsiderAnálise e habilite a análise.
• Privacidade por design: os resultados e insights verificados são retornados como atividades de usuário agregadas e anonimizadas. Nomes de usuário individuais não são identificáveis pelos revisores. Como o gerenciamento de risco interno não classifica nenhuma identidade na organização para análise, a solução é responsável por todas as UPNs/identidades que podem estar envolvidas em dados que saem do limite da organização. Isso pode envolver contas de usuário, contas do sistema, contas de convidado e assim por diante.
• Entender os riscos potenciais por meio de insights consolidados: a verificação de resultados pode ajudá-lo a identificar rapidamente áreas de risco potenciais para seus usuários e qual política seria melhor para ajudar a mitigar esses riscos.

Confira o vídeo do Insider Risk Management Analytics para ajudar a entender como a análise pode ajudar a acelerar a identificação de possíveis riscos internos.

Áreas digitalizadas

A análise examina a atividade de gerenciamento de riscos de várias fontes para ajudar a identificar insights sobre áreas de risco em potencial. Dependendo da configuração atual, a análise procura atividades de risco qualificadas nas seguintes áreas:

• Logs de auditoria do Microsoft 365: incluídos em todas as verificações, essa é a principal fonte para identificar a maioria das atividades potencialmente arriscadas.
• Exchange Online: incluída em todos os exames, Exchange Online atividade ajuda a identificar atividades em que os dados em anexos são enviados por email para contatos ou serviços externos.
• Azure Active Directory: incluído em todos os exames, Azure AD histórico ajuda a identificar atividades arriscadas associadas aos usuários com contas de usuário excluídas.
• Conector de dados do Microsoft 365 HR: se configurados, os eventos do conector de RH ajudam a identificar atividades arriscadas associadas a usuários que têm datas de término futuras ou de demissão.

Os insights de análise dos exames baseiam-se nos mesmos sinais de atividade de gerenciamento de risco usados por políticas de gerenciamento de risco interno e resultados de relatório com base em atividades de usuário única e sequência. No entanto, a pontuação de risco para análise é baseada em até 10 dias de atividade, enquanto as políticas de risco interno usam atividades diárias para insights. Ao habilitar e executar análise pela primeira vez em sua organização, você verá os resultados da verificação por um dia. Se você deixar a análise habilitada, verá os resultados de cada verificação diária adicionada aos relatórios de insights para um intervalo máximo dos 10 dias de atividade anteriores.

Receber diretrizes em tempo real sobre como configurar configurações de limite de indicador

Ajustar políticas manualmente para reduzir o "ruído" pode ser uma experiência muito demorada que exige que você faça muita avaliação e erro para determinar a configuração desejada para suas políticas. Se a análise estiver ativada e você decidir personalizar suas configurações de limite de indicador, você poderá obter insights em tempo real da análise se quiser aproveitar uma experiência de configuração de limite guiada (controlada por dados) que ajudará você a configurar os limites apropriados ao criar uma nova política ou ajustar uma existente. Esses insights podem ajudá-lo a ajustar com eficiência a seleção de indicadores e limites de ocorrência de atividade para que você não receba muitos alertas de política. A análise em tempo real (versão prévia) baseia-se nos últimos 10 dias de dados de atividade em seu locatário e as exclusões globais são levadas em conta. Para obter mais informações sobre análise em tempo real para configurações de limite, consulte Configurações de nível de indicador.

Habilitar a análise e iniciar uma verificação de possíveis riscos internos em sua organização

Para habilitar a análise de risco interno, você deve ser membro do Insider Risk Management, dos administradores do Insider Risk Management ou do grupo de funções de administrador global do Microsoft 365 .

1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de risco do Insider.

2. Na guia Visão geral, role para baixo até o cartão de análise de risco do Insider e, em Examinar os riscos internos em sua organização, selecione Executar verificação. Isso ativa a verificação de análise para sua organização. Os resultados da análise podem levar até 48 horas até que os insights estejam disponíveis como relatórios para revisão.

   Dica

   Você também pode ativar a verificação em sua organização por meio do botão Configurações na parte superior de qualquer página de gerenciamento de risco interno. Depois de selecionar o botão, selecione Análise e ative a configuração.

   

Exibir insights de análise após a primeira verificação de análise

Depois que a primeira verificação de análise for concluída para sua organização, os membros do grupo de funções de administradores do Insider Risk Management receberão automaticamente uma notificação por email e poderão exibir os insights e recomendações iniciais para atividades potencialmente arriscadas por seus usuários. As verificações diárias continuam, a menos que você desative a análise para sua organização. Email notificações aos administradores são fornecidas para cada uma das três categorias no escopo para análise (vazamentos de dados, roubo e exfiltração) após a primeira instância de atividade potencialmente arriscada em sua organização. Email notificações não são enviadas aos administradores para a detecção de atividades de gerenciamento de risco de acompanhamento resultantes dos exames diários.

Observação

Se a configuração analytics estiver desabilitada e habilitada novamente, notificações por email automáticas serão redefinidas e notificações por email forem enviadas aos membros do grupo de funções de administradores do Insider Risk Management para novos insights de verificação.

Para exibir riscos potenciais para sua organização, acesse a guia Visão geral e, em seguida, no cartão análise de risco do Insider, selecione Exibir resultados.

Observação

Se a verificação de sua organização não estiver concluída, você verá uma mensagem de que a verificação ainda está ativa.

Para análises concluídas, você verá os possíveis riscos descobertos em sua organização e insights e recomendações para resolver esses riscos. Riscos identificados e insights específicos são incluídos em relatórios agrupados por área, o número total de usuários (todos os tipos de contas Azure AD, incluindo usuário, convidado, sistema e assim por diante) com riscos identificados, o percentual desses usuários com atividades potencialmente arriscadas e uma política de risco interno recomendada para ajudar a mitigar esses riscos. Os relatórios incluem:

• Dados vazam insights: para todos os usuários que podem incluir o compartilhamento acidental de informações fora da sua organização ou vazamentos de dados por usuários com intenção mal-intencionada.
• Insights de roubo de dados: para usuários ou usuários com contas Azure AD excluídas que podem incluir compartilhamento arriscado de informações fora da sua organização ou roubo de dados por usuários com intenção mal-intencionada.
• Principais insights de exfiltração: para todos os usuários que podem incluir o compartilhamento de dados fora da sua organização.

Para exibir mais informações para obter uma visão, selecione Exibir detalhes para exibir o painel de detalhes do insight. O painel de detalhes inclui os resultados completos do insight, uma recomendação de política de risco interno e o botão Criar política para ajudá-lo a criar rapidamente a política recomendada. Selecionar Criar política leva você ao assistente de política e seleciona automaticamente o modelo de política recomendado relacionado ao insight. Por exemplo, se o insight de análise for para atividade de Roubo de Dados , o modelo de política de Roubo de Dados será pré-selecionado no assistente de política para você.

Desativar análise

Para desativar a análise de risco interno, você deve ser membro do Insider Risk Management, dos administradores do Insider Risk Management ou do grupo de funções de administrador global do Microsoft 365.

Depois de desabilitar a análise:

• Os relatórios de insights de análise permanecerão estáticos e não serão atualizados para novos riscos.
• Você não poderá ver análise em tempo real ao personalizar as configurações de limite de indicador para suas políticas.

Para desativar a análise:

1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de risco do Insider.
2. Selecione o botão Configurações e selecione Análise.
3. Na página Análise, desative a configuração.